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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

(5) Verfahren zum Schutz vor Angriffen auf den Authentifizierungsalgorithmus bzw. den Geheimschlussel einer 
Chipkarte 

@ Die Erfiiidung betrifft ein Verfahren zum Schutz vor An- 
griffen auf den Authentifizierungsalgorithmus bzw. den 
Geheimschlussel einer Chipkarte (SIM) in einem Netz- 
werk /ur Nachrichtenubertragung, vorzugsweise in ei- 
nem GSM Notzwerk, bei dem in einer Chipkarte (SIM) ein 
Algorithmus sowie ein geheimer Schlussel gespeichert 
ist, wobei zur Authentifizierung zunachst vom Netzwerk 
oder einer Nerzwerkkomponerite cine Zufallszahl an die 
Chipkarte ubertragen wird, in der Chipkarte mittels des 
Algorithmus, der Zufallszahl und des geheimen Schlus- 
sels ein Antwortsignal erzeugt wird, das an das Netzwerk 
- bzw. die Netzwerkkomponente ubermittelt wird, um dort 
die Aulhenliiitat der Karle zu uberprufen. GernaG der Er- 
findung ist ein Zahler zur Aufzeichnung der Anzahl der 
insgesamt mit der Karte durchgefuhrten Authentifikati- 
onsvorgange vorgesehen. Es wird weiterhin ein oberer 
Grenzwert fur die Anzahl der insgesamt mit der Karte 
' durchzufuhrenden Authentifikationsvorgange vorgege- 
ben und bei jeder Authentication der Zahler erhoht und 
mit dem vorgegebenen oberen Grenzwert verglichen. 
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Die Erfindung betrifft cin Veriahrcn zum Schutz vor An- 
griffen auf den Authentifizierungsalgorilhmus bzw. den Ge- 
heimschlussel einer Chipkarte (SIM) in einem Neizwerk zur 5 
Nachrichlcnuberlragung, vorzugsweise in einem GSM- 
Nelzwerk, nach dem Oberbegrifif des Anspruchs 1. 

Bei GSM-Systemen ist es bekannl, daK sich zum Ge- 
brauch der Chipkarte (Subscriber Identity Module SIM) zu- 
nachsl der Benulzer initials einer personlichen Identifikati- 10 
onsnununer (PIN) als zur Benutzung berechtigt ausweisen 
muB. TJnt an dieser Stelle MiBbrauch zu vermeiden, ist es flir 
die PIN-Eingabc bekannt, einen Fehlerzahler vorzusehen, 
der nach Uberschreiten einer zulassigen Anzahl von Fehl- 
versuchen den weiteren Gebrauch der Karte unterbindet. 15 

Eine weitere, systcnirelcvante SicherheitsmaBnahme be- 
siehi in der Auihentisierung der Kane gegenuber deni Mo- 
bilfunknetz. Zu dicscm Zwcck ist in der Karte cine von au- 
Ben nicht zugangliche Geheimnumnier und ein ebenfalls 
von auBen nicht zuganglicher, gegebenenfalls geheimer Al- 20 
gorithmus abgelegl. Zur Authentifizierung wird vora Netz- 
werk bzw. einer Nclzwerkkomponente einc Zufallszahl er- 
zcugl, die der Kane mitgetcilt wird. Die Karte berechnet aus 
dieser Zufallszahl und dem geheimen Schlussel mittels des 
Algorithmus eine Signalanlwort, welche dent Neizwerk mil- 25 
gelcilt wird. Diese Antwort wird im Neizwerk analysiert 
und es wird, bei positiveni Ergebnis, Zugang zu den Netz- 
werkfunklionen erlaubl. 

Aus der deutschen Patentschrilt DE 43 39 460 CI ist ein 
Verfahren zur Authentifizierung eines Systemteils durch ein 30 
anderes Systemteil eines InfonnationsUbertragungssystems 
nach dem Challenge and Response-Prinzip bekannt. Die 
dort beschriebene Datentrageranordnung ist mit einem Wer- 
tespeicher versehen, dem eine Kontrolleinrichtung zugeord- 
net ist. Weiterhin ist ein nicht fluchtiger, begrenzbarer Feh- 35 
lerzahler sowie eine Sperrvorrichtung vorgesehen. Bei dem 
Authentifizierungsverfahren ist die tragbare Datentrageran- 
ordnung zunachst gesperrt und wird erst nach Vcrandern des 
Fehlerzahlerstandes freigegeben. Von dem Endgerat werden 
daraufhin Zufallsdaten zur iragbaren Datentrageranordnung 40 
ubertragen. Diese Daten werden sowohl im Endgerat als 
auch in der tragbaren Datentrageranordnung durch einen ge- 
heimen Algorithmus und geheime Schliisseldaten zu Au- 
thentifikationsparametem verarbeitet. Die im Endgerat er- 
zeugten Authentiflkaiionsparameter werden im weiteren zur 45 
tragbaren Datentrageranordnung ubermitielt und mit den 
dorl berechneten Authentifikationsparametern verglichen. 
Bei Ubereinstimmung wird der Fehlerzahler ruckgesetzt. 

Bei dem bekannten Stand der Technik wird also bei jedem 
Bearbeitungsvorgang der Fehlerzahler erhoht und bei er- 50 
folgreicher Beendigung des Bearbeitungsverfahrens ruckge- 
setzt. Bei Uberschreiten eines vorgegebenen Grenzwertes 
fur die Anzahl der Fehlversuche werden weitere Authentifi- 
zierungsversuche nicht zugelassen. 

Bei der Authentitizierung im GSM-Netz besteht das Pro- 55 
blem, daB die Karte nicht uber eine fehlgeschlagene Authen- 
tifizierung in formiert wird, sondern es wird lediglich im Sy- 
stem eine Uberprufung durchgefuhrt, die entweder zum Ab- 
bruch der Verbindung oder zur Zulassung des Teilnehmers 
zu den Netzdiensten fuhrt. 60 

Auch in einem dcrartigen Netz besteht die Gefahr, daB 
durch AngrifTe auf den Algorithmus, der zur Authentifizie- 
rung verwendet wird, das Netzwerk beispielsweise in einem 
Computer simuliert werden kann, indem ausgewahlte "Zu- 
fallszahlcn* 1 nach dem standardisicrtcn Protokoll an die 65 
SIM-Karte ubcrmittelt werden und daraus bei mehrfachen 
Authentifizierungsversuchen der Geheimschlussel der Chip- 
karte ermittelt werden kann. Nach Ennittlung des geheimen 



Schlussels und bei Bekannisein des Algorithmus konnen 
wesentliche Funktionselemente der Karte simuliert bzw. du- 
plizierl werden. 

Rs ist deshalh Aufgabe der Krfindung, ein sicheres Ver- 
fahren zum Schutz vor Angriffen auf den Authentifizie- 
rungsalgorithmus bzw. den Geheimschlussel einer Chip- 
karte in einem Nachrichtcnsystem anzugeben, bei dem eine 
sichereRuckmeldung uber die Authentifizierung an die teil- 
nehmende Chipkarte nicht erfolgt. 

Diese Aufgabe wird gemaB der Erfindung ausgehend von 
den Merkmalen des Oberbegriffs des Anspruchs 1 durch die 
kennzeichnenden Merkmale des Anspruchs 1 gelost. 

Vorteilhafte Ausgestaltungen der Erfindung sind in den 
abhangigen Anspriichen angegeben. 

GemaB der Erfindung wird vorgeschlagen, die beliebig 
haurige Wiederholung des Identifizierungsvorgangs dadurch 
zu unterbinden, daB in der Karte oder im Netzwerk ein Zah- 
lcr vorgesehen wird, wclchcr die Anzahl der insgesamt 
durchgefuhrten Authentifizierungsversuche festhalt. Der ak- 
tuelle Zahlerstand wird bei jeder Authentifizierung mit ei- 
nem vorgebbaren oberen Grenzwert verglichen. Durch die 
Zahlung der Anzahl der insgesamt durchgefuhrten Authen- 
tifikationsversuche wird in vorteilhafter Weise zum einen 
erreicht, daB die fehlende Riickmeldung des Authentifizie- 
rungsergebnisses nichl zwangslaufig in der Nichlanwend- 
barkeit der Vorgabe einer Obergrenze fur die maximal zulas- 
sige Anzahl der Authentifizierungsversuche endet und zum 
anderen kann der Zahler. da ein Rucksetzen nicht erlaubt ist. 
durch ein unzulassiges Riicksetzsignal nichl auBer Kraft ge- 
selzt werden. 

GemaB einer vorteilhaften Ausfuhrungsfonn der Erfin- 
dung liegt der vorgegebene obere Grenzwert hoher als die 
geschatzte Anzahl der mit der Karte ublicherweise auszu- 
liihrenden Authentifikationsvorgange. Zur Austegung der 
oberen Grenze ist deshalb jeweils an Hand der Schlussel- 
lange und der sonstigen Randbedingungen eine Risikoab- 
schatzung durchzufuhren, wobei bei vertretbarem Risiko die 
obere Grenze moglichst iiber der Anzahl der zu erwartenden 
regularen Authentifikationen anzusetzen ist, um nicht eine 
fur den Benutzer unangenehme vorzeitige Sperrung der 
Karte in Kauf zu nehmen. Die voi^egebene obere Grenze 
sollte iiberdies unter der zu erwartenden Anzahl der Versu- 
che liegen, die notwendig sind, um den geheimen Schlussel 
herauszufinden. 

Eine weitere vorteilhafte Ausgestaltung der Erfindung 
sieht vor, daB der Zahler in der Chipkarte realisiert ist und 
der Vergleich mit dem oberen Grenzwert in der Chipkarte 
ausgefuhn wird. Damit kann bei einer Simulation des Net- 
zes durch einen Computer zumindest die Simulation der 
Zahlerstande vermieden werden. 

Fur den Fall, daB beispielsweise aufgrund mangelnden 
Speicherplatzes oder sonstiger Umstande eine Realisierung 
des Zahlers auf der Karte nicht moglich ist, kann die Reali- 
sierung auch im Netz erfolgen, wobei vorzugsweise die 
Zahlerdaten vor jeder Authentifizierung verschlusselt an die 
Karte ubertragen werden. 

GemaB einer weiteren vorteilhaften Ausgestaltung der Er- 
findung werden bei Uberschreiten des oberen Grenzwertes 
einzelne oder alle Funktionen der Chipkarte blockiert, so 
daB die Funktionsfahigkeit der Karte zumindest stark einge- 
schrankt wird. 

Alternativ oder zusatzlich kann bei Uberschreiten des 
Grenzwertes an das Netzwerk oder eine entsprechende 
Netzwerkkomponente eine Information ubermittelt werden, 
wodurch im Netzwerk die Funktionen der Karte (SIM) zu- 
mindest Liberwacht werden konnen. Mit dieser Information 
konnen ferner seitens des Netzwerkes bzw. der Netzwerk- 
komponente einzelne oder alle Funktionen der Karte ge- 
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sperri wcrden. 

Es ist Tomer vortcilhaft, in alien ATR-Berichien der Kane 
auf das Uberschreilen der oberen Grenze hinzuweisen. 

Tnshesondere fur den Fail, da 6 die obere Grenze fur die 
zuliissige Anzahl an Authentifizierungsverfahren mil hohcr 
' Wahrschcinlichkeit Kleiner als die zu erwartende regulare. 
Anzahl von Authcntifizierungen ist, ist es vorteilhaft, einen 
alternaliven geheimen Schliissel in der Karte abzulegen. Bei 
Erreichen der oberen Grenze kann somit auf einen neuen 
Geheimschliissel umgestellt werden, wobei hierbei eben- 
falls ein neuer Zahler initiiert wird bzw. der Zahler riickge- 
setzt wird. 

Neben dcm Urnsehalten auf einen weiteren geheimen 
Schlusscl, kann ebenfalls eine neue IMSI selektiert werden, 
so daB nach Erreichen des oberen Grenzwertes auf ein neues 
IMSI/Schltissel-Paar zugegriffen wird. 

Insbesondcre fur SIM's, die iiber eineeigene Energicver- 
sorgung und damit iiber eine interne Zcitmcssung vcrfiigcn 
konnen, kann es auch vorteilhaft sein, nach einer langeren 
Zeitdauer den Zahler zyklisch riickzusetzen. 

Es kann weiterhin neben dem oberen Grenzwert ein zwei- 
ter Grenzwert vorgesehen werden, der unter dem oberen 
Grenzwert liegt. Damit ist die Moglichkeit gegeben, dem 
Netzwerk bereits vor Erreichen des oberen Grenzwertes 
eine Information zukommen zu Lassen, die es dem Nelz- 
werkbetreiber erlaubt, beispielsweise dem Benutzer recht- 
zeitig eine neue Karte auszustellen, wenn die Funktionen 
der itn Gebrauch befindlichcn aufgrund der Uberschreitung 
der zulassigen Anzahl an Authentifikationen in absehbarer 
Zeit gesperrt werden. 

Im folgenden wird die Erfindung beispielhaft anhand ei- 
nes Ausfuhrungsbei spiels gemaB den Fig. 1 und 2 beschrie- 
ben. 

Fig. 1 zeigt den Ablaufder kxyptographischen Funktio- 
nen des SIM im GSM-Netz. 

Fig. 2 zeigt die fur die Erfindung wesentlichen Elemente 
des SIM. 

In Fig. 1 ist der Datenaustausch zwischen der Chipkarte 
(SIM) und dem Netzwerk iiber die Luftschnittstelle darge- 
stellt. 

Bei der Fig. 1 wird vorausgesetzt, daft der ubliche Vor- 
gang der PIN- Verifizie rung abgeschlossen ist. Im AnschluB 
an diese PIN-Verifizierung wird von mobilen Einheit, in der 
sich die Karte befindet, eine Nachricht an das Netzwerk ge- 
sendet, welche die IMSI (international mobile subscriber 
identity) bzw. TMSI (temporary mobile subscriber identity) 
enthalt. Aus der IMSI bzw. TMSI wird im Netzwerk nach 
einer vorgegebenen Funktion oder mittels einer Tabelle der 
geheime Schliissel K; ennittelt, der in der Chipkarte (SIM) 
in eineni nicht zuganglichen Speicherbereich abgelegt ist. 
Der geheime Schliissel wird fur die spatere Verifizierung des 
Authentifikationsvorganges benotigt. 

Vom Netzwerk wird der Authentifizierungsvorgang in- 
itialisiert, indem eine Zufallszahl (RAND) berechnet wird, 
die iiber die Luftschnittstelle in die Chipkarte (SIM) ubertra- 
gen wird. 

In der Chipkarte wird daraufhin mittels einer Authentisie- 
rungsfunktion aus dem geheimen Schliissel Kj und der Zu- 
fallszahl RAND das Authentisierungsergebnis SRES gebil- 
det, das iiber die Luftschnittstelle an das Netzwerk iibertra- 
gen wird. Im Netzwerk wird ebenfalls mittels der geheimen 
Funktion und der Zufallszahl RAND sowie dem geheimen 
Schliissel Ki ein Authentisierungsergebnis SRES' gebildet. 
Im Netzwerk findet weiterhin ein Vergleich der Authentisie- 
rungscrgebnisse SRES und SRES' statt. wobci bei Glcich- 
heit der Authentifizierungsvorgang erfolgreich abgeschlos- 
sen wird, wahrend bei Ungleichheit ein Abbruch der Verbin- 
dung vorgenommen wird, da sich die Karte des Teilnchmers 
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nicht auihcniisicn hat. 

In der Chipkarte SIM wird gemaB der Erfindung ent weder 
vor oder nach der Authentisierung der Zahlerstand eines 
Authentifikahons-Zahlers erhohl. Im AnschluB an die Zah- 
5 lererhohung wird in der Chipkarte SIM ein Vergleich des ak- 
tuellen Zahlerstandes mil dem oberen Grenzwert Z„ iax , wel- 
cher die maximal zulassige Anzahl der Authentifiziemngs- 
vorgange angibt, verglichen. Fur den Fall, daB Z < Z inax ist, 
konnen im Netzwerk alle Dienste in Anspruch genommen 

l ) werden, fur die der Benutzer autorisiert ist. Fur den Fall, daB 
der aktuelle Zahlerstand Z den oberen Grenzwert 2^ nax er- 
reicht oder uberschritten hat, kann entweder chipkartensei- 
tig eine Sperrung SP der Chipkarte und damit der Netzwerk- 
funktionen eingeleitet werden oder es kann alternativ oder 

15 zusatzlich eine Nachricht Mess an das Netzwerk ubermittelt 
werden, woraufhin im Netzwerk verse hi edene Aktionen 
eingeleitet werden konnen, wie beispielsweise die Uberer- 
wachung der SIM-Aktivitatcn, das Nichtzulasscn bestimm- 
ter Dienste im Netzwerk, oder die Sperrung der gesamten 

20 Dienste, die der Benutzer ublicherweise nach erfolgreicher 
Authentifizierung in Anspruch nehmen kann. 

Die Fig, 2 zeigt ein Ausfuhrungsbeispiel einer Chipkarte 
SIM, die eine Schnittstelle S zum Datenaustausch nut einem 
Mobilfunktelefon aufweist sowie einen Mikroprozessor up, 

25 der mil einem Zahler Z und einem Speicher M, M g verbun- 
den ist. Der Zahler Z kann im wesentlichen als Hardware- 
zahler ausgebildet sein oder er ist als Softwarezahler pro- 
grammiert. Der Speicher ist unterteilt in den ublichen Spei- 
cherbereich M, in dem Daten ausgelesen und eingeschrieben 

30 werden konnen und in den geheimen Speicherbereich M g , in 
dem zumindest der geheime Schliissel Ki sowie der Authen- 
tisierungsalgorithmus abgelegt sind. Wenn iiber die Schnitt- 
stelle S die Zufallszahl RAND erhalten wird, initiiert der 
Mikroprozessor uP zum einen die Erhdhung des Zahlers Z 

35 sowie den Vergleich des aktuellen Zahlerstands mit der obe- 
ren Grenze Z inax und zum anderen wird aus dem geheimen 
Speicherbereich M g der geheime Schliissel Ki sowie der Al- 
gorithnius geladen, um die Authentifizierungs-Berechnung 
durchzufiihren und das Ergebnis SRES zu erhalten. 

40 

Patentanspriiche 

1 . Verfahren zum Schutz vor Angriffen auf den Au- 
thentifizierungsalgorithmus bzw. den Geheimschliissel 

45 (KO einer Chipkarte (SIM) in einem Netzwerk zur 

Nachrichtenubertragung, vorzugsweise in einem 
GSM-Netzwerk, bei dem in einer Chipkarte (SIM) ein 
Algorithmus sowie ein geheimer Schliissel (Ki) gespei- 
chert ist, wobei zur Authentifizierung 

50 - zunachst vom Netzwerk oder einer Netzwerk- 

komponente eine Zufallszahl (RAND) an die 
Chipkarte ubertragen wird, 

- in der Chipkarte mittels des Algorithmus, der 
Zufallszahl (RAND) und des geheimen Schlussels 

55 (KO ein Antwortsignal (SRES) erzeugt wird, das 

an das Netzwerk bzw. die Netzwerkkomponente 
ubermittelt wird, um dort die Authentizitat der 
Karte (SIM) zu iiberpriifen, 
dadurch gekennzeichnel, daB 

60 - ein Zahler (Z) zur Aufzeichnung der Anzahl der 

insgesamt mit der Karte durchgefuhrten Authenti- 
fikationsvorgange vorgesehen ist, 

- ein oberer Grenzwert (Z max ) fur die Anzahl der 
insgesamt mit der Karte dure hzufuhren den Au- 

65 thentifikationsvorgange vorgegeben wird, und 

- bei jeder Authentifikation der Zahler (Z) erhoht 
und mit dem vorgegebenen oberen Grenzwert 
(Zmax) verglichen wird. 
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2. Verlahren nach Anspruch 1, dadurch gekenn/eich- 
nci. daB der obcrc Grenzworl (Z lnax ) honor liegl als die 
gcscliai/ie, mil einer Karle durchgefuhne Anzahl an 
Amheniilikalionen und nicdriger Hegl als die zu erwar- 
lende An/.ahl der fur die Kmuttlung des gchcimcn 5 
SVh Kissels nolwendigen Authcnlili/icrungsvoigange. 
.v Vcrfahren nach Anspruch 1 oder2, dadurch gckenn- 
/cichnei. daB der Zahler (Z) in der Chipkarle imple- 
nieniien isi und der Vergleieh des akiuellcn Zahlcrsian- 
• Ics mil deni obcren Grenzwert <Z tIUV ) in der Chipkartc 10 
duicligcluhri wird. 

4 Verlahren nach Anspruch I oder 2, dadurch gckenn- 
/cu hik-i. daB der Zahler in einer Neizwerkkomponcnie 
mplci icniierl isi und der Vergleieh des akiuellcn Zah- 
cfvi.,M.k-s mil deni obcren Cjrcn/.wcn (X, Iiax ) in einer 15 
Vi/ucikkomponenle durchgefiihri wird. 
> Vcil.ihien nach einem der Anspriiehe 1 bis 4, da- 
duuh eckenn/cichnei, daB bci Ubersehrcilen des obe- 
ren < iien/ucries <Z max ) einzelne oder aile I-unklionen 
der ( lnpk.iiic (SIM) blockicrl werden. 20 
'» Verl.ihicn nach einem der Anspruehe 1 bis 4, da- 
duich eckcnn/cichnel, daB bei Ubersehrcilen des vor- 
ecgebenen obcren Gren/wcrles (Z Mia J an das Nelz- 
uerk »*lcr cine Nel/werkkoniponenle cine Information 
jbeimuieli \\ ird und das Nel/.wcrk infolge dieser In for- 25 
m.Hi.M die Aklivitiilen der Chipkarle (SIM) uberwaehl. 
7. Veil. iliren nach Anspruch 6, dadurch gekonnzeich- 
tiei. d.ilitl.is Nei/.wcrk cine Anfrage iniliierl, geniaB der 
die I unk'.i.Mien der Chipkarle geloschl oder einge- 
sclir.inki werden. 30 
S. Vcrl.ihrcn nach einem der Anspruehe 1 bis 4, da- 
durch g eke nn/.eic line!, daB nach lirrcichen des oberen 
Gien/ncrlcs (/ mjx ) in alien Answer lo Rcsct-(ATR- 
)lierichien ein Tlinweis crzcugi wird, datf der Zahler 
seinen I I.Vhsl sland erreichl hal. *S 
l ). Verlahren nach einem der vorhergehenden Anspru- 
ehe I bis S. dadurch gekennzeichnel, daB bei lirrcichen 
des obcren ( Iren/werles tZ, njx ) des Zahlers das Neiz- 
v\erk vKkr die Chipkarle (SIM) das Umschallen auf ei- 
nen allernaliven. in der Chipkarle abgeleglon, Cieheim- 4u 
sehlussel £ K, ) iniiiien. 

10. Verlahren nach einem odor mehreren der Anspru- 
ehe 1 bis l >, dadurch gekennzeichnel. daB nach lirrci- 
chen des Ilochslslandes ilcs Zahlers (Z) auf ein allema- 
livcs IMSI/geheimes Schlusscl-Paar umgeslelll wird. 45 
1 I. Verlahren nach einem der Anspriiehe* 1 bis 10, da- 
durch gekennzeichnel. daB der Auihenlilikalions-Zalv 
ler nach einer vorgcgchcncn Zeii /.uriickgcsci/j wird. 
12. Verlahren nach einem der Anspruehe 1 bis 11, da- 
durch gekennzeichnel. daB neben deni oberen Grenz- 50 
wen (Z I1US ) ein zweiier (iron /wen vorgegeben wird. 
der unierhalb des oberen Ciren/.werios licgl, und bei 
desson lirrcichen ein Signal an das Neizwerk gesendet 
wird, in deni auf das nahende lirrcichen des oberen 
Grenzwerlcs (Z nULX ) hingewiesen wird. 55 
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